Главная
страница 1страница 2страница 3
Глава 3. Стадии создания ИСУ
3.1 Общие положения

Разработка информационной системы управления представляет со­бой комплекс научно-исследовательских, проектных, инженерно-технических и организационных работ, направленных на совершенствова­ние существующей системы управления на базе современных методов управления и использования вычислительной техники.

Независимо от специфических условий и требований к конкретным ИСУ существует некоторая типовая последовательность разработки ин­формационных систем и общие рекомендации по организации работ.

Последовательность разработки ИСУ установлена в виде стадий соз­дания: обследование объекта информатизации и обоснование создания ИСУ, техническое задание; эскизный проект, технический проект, рабочий проект, изготовление несерийных комплектов комплекса средств информатизации, ввод в действие.

Выделение отдельных стадий создания ИСУ и определение содержа­ния работ по каждой стадии имеет существенное значение для более чет­кого планирования, оперативного контроля и управления деятельностью коллектива разработчиков и отдельных исполнителей.

Разработка проекта сопровождается по каждой стадии соответст­вующей проектной технической документацией. Её цель - формальное представление проектных решений для последующего использования при их реализации.



3.2. Этапы проектирования

Рассмотрим основные этапы проектирования.



Технико-экономическое обоснование содер­жит следующие разделы:

- общие положения;

- обоснование цели создания ИСУП;


  • - обоснование комплекса задач и средств ИСУ;

- перечень организационно-технических мероприятий;

- общей оценки экономической целесообразности и производст­венной необходимости создания ИСУ.

ТЭО разрабатывается на основе предпроектного обследования пред­приятия.

Техническое задание (ТЗ) является основным исходным для разработчика и заказчика ИСУ документом, в соответствии с которым происходит раз­работка ИСУ и приемка её приемочной комиссией.

В состав ТЗ в обязательном порядке включаются следующие разде­лы:

- назначение и цель, где указывается сфера функционирования
объекта управления, вид управляемого процесса, органы и
функции, подлежащие автоматизации;

- требования к ИСУ, где излагаются требования к системе в це­лом, видам обеспечения, структуре ИСУ;

- требования к составу, содержанию работ по подготовке объекта к вводу ИСУ в действие;

- показатели эффективности функционирования ИСУ;

- стадии создания, где указывают очередность и этапы работ по
созданию ИСУ, сроки их выполнения и ввода системы в дейст­вие, перечень организаций - исполнителей работ;

- порядок контроля и приемки.

При создании ИСУ в несколько очередей в ТЗ указывается перечень подсистем и комплексов задач, вводимых в действие в первой и после­дующих очередях.

Технический проект (ТП) - это комплекс документов, содержащих решения.

Технический проект содержат 9 разделов.

1. Пояснительная записка.

2. Решения по комплексу технических средств.

3. План мероприятий по подготовке предприятия к внедрению.

4. Расчет экономической эффективности.

5. Описание организационной структуры управления

6. Описание постановки задачи.

7. Описание программного обеспечения ИСУ.

8. Описание информационного обеспечения.

9. Описание алгоритма.

Технический проект утверждается заказчиком.



Разработка рабочей документации (РД) является завершающей ста­дией проектирования ИСУ.

На этапе создания РД заказчик обязан завершить формирование и организовать ведение информационной базы или банка данных ИСУ; вве­сти в промышленную эксплуатацию КТС и вычислительный центр; завершить обучение управленческого персонала и работников ВЦ работе в условиях функционирования ИСУ.

Разработчик подготавливает следующие документы: описание технологического процесса обработки данных; технологические инструкции; должностные инструкции; руководство программиста; руководство оператора; описание контрольного примера; текст программы.
3.2. Ввод ИСУ в эксплуатацию

Ввод ИСУ в эксплуатацию осуществляется в 3 этапа: - приёмо-сдаточные испытания; опытная эксплуатация; промышленная эксплуатация;

Все этапы оформляются приказом по организации, в котором указывается название ИСУ, этап, комиссия, программа проведения испытания (эксплуатации), сроки.

Целью приёмо-сдаточных испытаний является проверка готовности обеспечивающих частей ИСУ.



Опытная эксплуатация проводится на реальном объекте, в реальном масштабе времени, на реальной информации. При этом ИСУ функционирует параллельно с существующей системой управления. Это необходимо для сравнения, сопоставление результатов, принятия решения о готовности системы и целесообразности её внедрения. Продолжительность опытной эксплуатации от одного месяца до одного года.

После успешного проведения опытной эксплуатации система сдаётся в промышленную эксплуатацию.



Лингвистическое обеспечение

Под лингвистическим обеспечением понимается совокупность языковых средств для формализации общения персонала ИСУ между собой и со средствами вычислительной техники (гост 24.003-84).

Лингвистическое обеспечение включает терминологию обозначения и язык программирования.

Термин и определения, относящихся к ИСУ закрепляются в соответствующих нормативных документах (ГОСТ, ОСТ, РММ и т.д.), что способствует выработке единого взгляда на процесс информатизации управления у специалистов различного профиля, а так же исключению возможных несоответствий на этих разработках и внедрения ИСУ.

Значительное место в лингвистическом обеспечении занимают языки программирования и системы обозначений, используемых при списании объектов, схем, документаций, алгоритмов и технологий обработки информации. ГОСТ 19.002-80, ГОСТ 19.003-80.

Существующие в настоящее время языки программирования подразделяются на следующие классы; машинно-ориентированные, процедурно-ориентированные, универсальные.



К машинно-ориентированным языкам программирования относятся языки в которых, с одной стороны, явно выражена связь с типом ЭВМ (соответствующая структура команд, структура памяти, структура внешних устройств и т.д.), а с другой – введены элементы упрощающие и автоматизирующие процесс программирования (символьное обозначение команд, ячеек памяти, широкое использование обозначений, привычных для человека).

Машинно-ориентированные языки программирования позволяют писать программы, не уступающие по эффективности программам написанным в машинных кодах.



Процедурно-ориентированные языки представляют собой следующий, более высокий уровень языков программирования, предназначенных для различных сфер применения ЭВМ и учитывающих специфику этих применений. Особенностью этих языков является выделение класса объектов программирования (арифметические, текстовые выражения и т.д.). Одной из важных сфер применения является использование этих языков для манипуляций над информацией (символьная обработка информации, использование в текстовых редакторах и табличных процессорах, СУБД).

Расширение сфер использования ЭВМ привело к необходимости решать задачи, которые выходят за рамки одного процедурно-ориентированного языка. Отсюда возникла необходимость создания универсальных языков, удобных для описания процессов обработки данных при решении различных задач. К ним относится ПL/1, Фортран, Бейсик, Pascal, Cu.



Правовое обеспечение

Под правовым обеспечением понимается совокупность правовых норм, регламентирующих правоотношения при разработке, внедрении и функционировании ИСУ, а также юридический статус результата ее функционирования.

В более широком смысле правовое обеспечение информационных систем управления – совокупность норм, выраженных в нормативных актах, устанавливающих и закрепляющих организацию этих систем, их цели, задачи, структуру и функции, правовой статус ИСУ и всех ее звеньев, и регламентирующих процессы создания и функционирования ИСУ.

ИСУ, комплексные и сложные системы не могут регулироваться какой-либо одной отраслью права. Правоотношение, возникающие в процессе проектирования, внедрение и функционирования, ИСУ, регулируются нормами государственного, административного, хозяйственного, гражданского, трудового и уголовного права.

Четкая регламентация в этой области – особо важные условия внедрения и эффективного ИСУ. Сам принцип автоматизации управления предполагает исключительно четкое определение – кто, что и когда делает при функционировании ИСУ.

Правовое обеспечение ИСУ рассматривается как комплексный юридический институт, который охватывает следующие направления:

- регулирование правового статуса ИСУ;

- правовое регулирование функциональных подсистем;

- правовое регулирование информационного обеспечения охватывает;

- правовое регулирование технического обеспечения охватывает;

- правовое обеспечение математического обеспечения охватывает;

- правовое регулирование взаимоотношений участников разработки, внедрения и эксплуатации ИСУ.

С развитием ИСУ важное значение приобретает вопрос о юридической силе информации на машинных носителей и передаваемой по каналам связи. В этом случае юридическую ответственность за качество и достоверность информации передаваемой на машинных носителях и по каналам связи несет передаваемая сторона.

Особенности юридической ответственности в условиях ИСУ:

- повышение ответственности управленца;

- гуманизация ответственности, проявляющаяся в том, что ЭВМ позволяет получить специалистам управленцам (менеджерам) необходимую информацию для наиболее объективной оценки ситуации, что способствует уменьшению субъективизма при принятии управленческих решений.

С точки зрения ответственности человека за качество решения, можно говорить о «презумпции достоверности» информации, выданной ЭВМ. Это означает, что человек, принимая решение, предполагает, что информация, выданная ЭВМ, достоверна.

Таким образом, построение ИСУ – сложный, длительный и ответственный процесс, в котором участвует множество коллективов. Поэтому процесс разработки и внедрения ИСУ требует четкого правового регулирования их взаимодействия.



Организационное обеспечение

Организационное обеспечение в себя включает положения, инструкции, приказы, штатные расписания и другие документы, регламентирующие работу персонала в условиях ИСУ.

К организационному обеспечению относится:

1) Рабочая документация по разработки ИСУ (утвержденные техническое задание, технический проект, рабочий проект; все изменения в эти документы должны оформляться соответствующими протоколами, являющиеся неотъемлемой частью этих документов).

2) Технологические инструкции по сбору, регистрации, предварительной обработке, контролю и передаче информации; инструкции по ведению первичной документации; инструкции по созданию и ведению баз данных, архивов; инструкции оформляются в виде стандартов предприятия и должны быть связаны с должностными инструкциями.

3) Должностные инструкции разрабатываются для вновь вводимых должностей и дорабатываются для тех должностных лиц, у которых изменяются функции, вызванные внедрением ИСУ.

4) Организационная структура управления, включающая должности, вводящие в связи с внедрением ИСУ.

5) Различные акты, оформляемые при завершении очередной стадии создания ИСУ, приема-передачи документации.

6) Документация, устанавливающая ответственность заказчика и исполнителя на этапах создания и внедрения ИСУ.



Глава 4. Информационное обеспечение ИСУ
4.1. Структура информационного обеспечения

Под информационным обеспечением (ИО) понимается совокупность решения по составу, структуре, объему, размещению и формам организации, циркулирующей в ИСУ.

Основное назначение ИО – своевременная выдача системе управления (управленческому персоналу) достоверной информации, необходимой и достаточной для принятия оптимальных управленческих решений. Кроме того, И.О. осуществляет ведение динамической информационной модели объекта управления в реальном режиме управления.

Информационной поток – сложившееся движение определённого объёма информации в определенном направлении, с определенной периодичностью и с определенной целью. Он показывает места возникновения и использования информации, вид информации, объем и частоту прохождения.

Информационная модель управления представляет собой совокупность информационных потоков данного объекта управления. Составляется две информационные модели управления: в условиях существующей системы управления и в условиях функционирования ИСУ.

Анализ существующей информационной модели позволяет разработать предложения по совершенствованию существующей системы документооборота, структуре управления. Целью анализа является упорядочение информационных потоков (исключение дублирования информации и ее избыточности), разработка рациональных форм и, в перспективе, переход на электронный документооборот.

В дальнейшем разрабатываются макеты первичной входной информации, формы выходных документов, информационные схемы задач управления. В них отображаются структуры основных массивов информацию. Информационные схемы задач управления объединяются в информационную модель управления в условиях ИСУ, которая является основой для проектирования комплекса технических средств ИСУ, составление сетевого графика разработки и внедрение ИСУ, регламентация работы управленческого персонала с информацией в условиях внедрения ИСУ в эксплуатацию.

С точки зрения создания ИСУ информационное обеспечения имеет следующую структуру:

- внемашиное (входная и выходная информация, классификаторы и кодификаторы, нормативно-справочная информатика, технологические инструкции);

- внутримашинное (программные комплексы, банки и базы данных).

Нормативно – справочная информация включает справочники, содержание, данные о количественных и качественных характеристиках объектов управления, которые не изменяются в процессе основных расчётов.

Основной формой входной информации является сообщение, представляющее собой законченную порцию информации. Оно оформляется в виде макета.

Под входной информацией понимается такая информация, которая является исходной для проведения расчетов и меняется полностью при каждом цикле расчета.

В период рыночных отношений предприятия и организации динамично развиваются, информационные потоки характеризуются неустойчивостью, поэтому система управления непрерывно изменяется, совершенствуется.

Исходя из этого можно, сформулировать следующие основные принципы построения информационного обеспечения:

- полнота отображения динамики состояний управляемости системы;

- обеспечение необходимой достоверности информации в соответствии с требованиями решаемых задач и запросов пользователей;

- высокая надёжность методов и средств сбора, хранения, обновления, поиска и выдачи данных;

- одноразовая регистрация, однократный вход в систему каждой порции информации и ее многократное и многоцелевое использование (обеспечение интегрированной обработки информации);

- минимизации дублирования хранящейся базах и банках информации (оптимизация структур базы, банка данных);

- простота и удобство доступа к данным на любой стадии обработки информации;

- организация эффективной системы документооборота, унификация форм документов;

- возможность развития информационного обеспечения путем, наращивания данных и организации новых связей без кардинального изменения существующей информационной системы;

- регламентация доступа к данным и хранение информации;

- регламентация информационного обеспечения с разными уровнями доступа;

- системный подход к организации информационного обеспечения (идентичность информационных баз различных уровней управления, включая региональный и федеральный);

- максимальный учет требований машинной обработке за счет рациональной структуре входной информации;

- типизация и блочность структур баз данных, в соответствии с которой аналогичные в функциональном и содержательном отношении блоки информации строятся по единым типовым правилам.


4.2. Классификация и кодирование информации

Классификация информации и последующее ее кодирование осуществляется с целью упорядочения всей совокупности данных, циркулирующих в организации, уменьшения объема информации в базах данных и удобства ее поиска, формирования различных справок.

Под классификацией понимается разделение заданного множества информации на подмножества в соответствие с заданными признаками.

Подмножества, получаемые в результате разделения заданного множества по одному или нескольким признакам классификации, называются классификационными группами (виды, подвиды, семейства, рода и т.д.)



Признаком классификации называют признак, по которому делят заданное множество на подмножества. Каждый этап разделения множества на подмножества называется ступенью классификации. Число ступеней определяет глубину классификации.

Количество знаков в кодовом обозначении называют длиной кода. В результате классификации определяется структура кода. Максимальное количество объектов, которое можно закодировать называют емкостью кода. Емкость классификатора является важнейшей его характеристикой

А10 = 10n – 1 , если используются десятичные цифры,

Арусс = 33n ,при использовании букв русского алфавита (кириллица);

Алат = 25n ,при использовании букв латинского алфавита (латиница);

где n – количество знаков в коде.

После завершения классификации осуществляют кодирование информации – образование и присвоение условного обозначения (кода) объекту классификации или классификационной группировке.

Различают иерархический, фасетный и смешанный методы классификации.

При иерархическом методе между классификационными группами устанавливаются отношения (иерархии), то есть исходное множество объектов М вначале (на 1-ой ступени) делят на классы М1, М2,…ММ, которые на 2-ой ступени делятся соответственно на подклассы М11, М12 … М14,на третьей ступени М111, М112 … и т.д.

Фасетным называют такой метод классификации, при котором множество делится по независимым признакам или их совокупностям – (фасет с франц. – грань).

В настоящее время наиболее широкое распространение получили следующие системы кодирования.

В тех случаях, когда объект обладает одним признаком применяют порядковую систему кодирования. Например: лето – 01, осень – 02, зима – 03, осень – 04; 01 – кафедра математики, 02 – кафедра физики …., 21 – кафедра менеджмента.

При наличие двух признаков (предположим, что один признак зависит от другого) используется серийно – порядковая система классификации, основанная на сочетании иерархического метода классификации и порядковой системы кодирования с постоянным или переменным шагом серии номеров.

Последовательная система кодирования используется при наличии нескольких признаков классификации, построенных по иерархическому методу. Она заключается в поочередном указании в кодовом обозначении признаков классификации.

Параллельная система кодирования используется при наличии нескольких независимых признаков и строится по структурной формуле фасетного метода классификации (при этом кодирование по всем признакам проводится параллельно, независимо). Она используется в тех случаях, когда информация об объекте является устойчивой в течение длительного времени.

Параллельная система кодирования используется при наличии нескольких независимых признаков и строится по структурной формуле фасетного метода классификации.

Выбор способа классификации и кодирования зависит от технико- экономического содержания решаемых задач и объемов классификации, от рационального построения кодов и правильной классификации в значительной мере зависит эффективность применения вычислительной техники.


4.3 Достоверность информации
Одним из основных условий эффективного функционирования ИСУ является обеспечение необходимого уровня достоверности информации, на основе которой принимаются управленческие решения.

Под достоверностью информации понимают вероятность появления ошибки, т.е. событие, заключающегося в том, что информация в системе о каком-либо параметре не совпадает с истинным значением в пределах заданной точности.

Ошибки возникают на любом этапе обработки информации: сбор, ввод, преобразование, передача. Ошибки информации обусловлены психо-физиологическими возможностями человека, а также объективными причинами (несовершенством технических средств, недостатками технологии сбора и обработки информации, недостаточной квалификацией персонала и т.д.), субъективными причинами (небрежность заполнения документов, плохая организация труда, преднамеренное искажение информации).

Причинами ошибок может быть неисправность оборудования, несоответствие его техническим параметрам, физический износ оборудования, нарушение условий технологии его работы, недостатки проектирования, наличие помех различного рода (плохая освещенность, шум, и т.д.), человеческий фактор (ошибки ввода, нарушение технологических инструкций).

Методы контроля:

1.Организационные: совершенствование технологии сбора и обработки данных; поддержание параметров технических средств в заданных пределах; повышение квалификации персонала; создание благоприятных условий труда; регламентация доступа к информации с использованием ключей, паролей, установлением списка пользователей и вида доступа пользователей к информации (чтение, запись, редактирование).

2. Программные методы основаны на информационной и программной избыточности, так как они предусматривают усложнение алгоритмов и программ, для внутри машинного контроля.

Метод контрольных сумм широко используются для контроля правильности ввода информации, подготовленной вручную.

Метод контроля формата сообщения основан на проверке структуры сообщения на соответствие определенному макету.

Программно-логические методы контроля используются для проверки смыслового содержания информации, ее логичности и непротиворечивости (метод «вилок», контроль сообщений между реквизитами одного сообщения и между реквизитами различных сообщений, контроль значения вводимого реквизита по справочнику).

Методы аппаратного контроля: наличие блока индикации в устройствах ввода информации; получение печатных копий; многократный ввод информации; двойной, параллельный расчет задачи.

При передаче информации по каналам связи используется следующие методы контроля: защита информации контрольным разрядом; трехкратная передача информации; передача сообщений с использованием обратной связи.

Таким образом, универсального метода контроля достоверности информации пока не существует. Поэтому при построении информационного обеспечения применяют совокупность различных методов.
4.4. Безопасность компьютерных систем

В настоящее время проблема защиты информации стоит перед каждым пользователем ЭВМ и постоянно усугубляется процессами проникновения во все сферы деятельности общества технических средств обработки информации и вычислительных систем.

Виды атак на компьютерную сеть и отдельные компьютеры:

- хищение частной и корпоративной информации;

- хищение номеров кредитных карт;

- сетевые атаки с последующим требованием денежного вознаграждения за прекращение атаки (компьютерный рэкет);

- рассылка спама;

- внедрение программ, рассылающих спам или звонящих на междугородние и международные телефоны с вашего компьютера.



Спам представляет собой ненужную информацию, с целью распространения рекламы, предвыборных данных о кандидатах, участия в различных конкурсах и т.д.

Под несанкционированным доступом (НСД) понимается проникновение в информационную среду организации без разрешения ее владельца с целью:



  1. незаконного копирования программ и данных для дальнейшего использования (в т.ч. и для продажи);

  2. преднамеренного или непреднамеренного искажения и уничтожения информации;

  3. внедрение в информационную среду вредоносных программ (компьютерных вирусов, программ-шпионов, спама).

Система защиты информации – это совокупность специальных мер правового (законодательного), административного характера, организационных мероприятий, технических и программных средств защиты, а также специального персонала, предназначенных для обеспечения безопасности информации, информационных технологий и автоматизированной системы в целом.

Способы защиты информации:

- создание различных физических препятствий;

- управление доступом (регулирование использования всех ресурсов системы: технических, программных, информационных, временных);

- маскировка информации – использование криптографических методов;

- организационные методы защиты информации;

- принуждение – соблюдение определенных правил работы с информацией под угрозой материальной, административной и уголовной ответственности;

- побуждение – использование морально-этических категорий (долг, ответственность, патриотизм и т.п.).

Нарушители могут быть из числа персонала (внутренними) или внешними (посторонними) лицами.

Основные преднамеренные угрозы:



  1. физическое разрушение системы (взрыв, поджог, вывод из строя технических средств);

  2. отключение или вывод из строя подсистем обеспечения функционирования систем (электропитание, вентиляции, охлаждение, линий связи и т.д.);

  3. создание помех на частотах работы средств связи и технических устройств;

  4. внедрение агентов в число персонала;

  5. вербовка (подкуп, шантаж) персонала;

  6. применение подслушивающих устройств, дистанционная фото- видеосъемка;

  7. перехват побочных электромагнитных, акустических и др. излучений устройств и линий связи;

  8. перехват данных, передаваемых по каналам связи путем подключения к ним;

  9. хищение носителей информации;

  10. хищение производственных отходов (распечаток, списанных носителей информации, и т.п.);

  11. незаконное получение паролей;

  12. вскрытие шифров криптографической защиты;

  13. внедрение вирусов и программ-шпионов.

Чаще всего достижение поставленной цели злоумышленник использует не один способ, а их некоторую совокупность.

Экономические методы предполагают применение мер стимулирования по приобретению законным путем легальных программных продуктов и баз данных. К их числу можно отнести следующие меры:

- предоставление скидок при покупке очередной версии программы и регулярное информирование пользователей об изменениях, доработках и новых версиях;

- издание различных средств массовой информации, в которых представляется рынок программных продуктов, указываются поставщики, их реквизиты;

- организация специализированных выставок, курсов, консультаций.



Организационные методы защиты информации:

- подбор и проверка персонала;

- разграничение доступа сотрудников к компьютерным сетям, информации и действий с ней в соответствии с их функциональными обязанностями и полномочиями;

- продуманная планировка помещений с целью минимизации контактов персонала;

- обозначения и названия документов и носителей не должны раскрывать их содержание;

- организация контроля и учета выходной информации и документов (ведение журналов учета);

- уничтожение «отработанных» документов и машинных носителей информации или передача их в архив;

- ведение учета передачи смен, дежурств и т.д.;

- постоянное повышение квалификации персонала;

- использование служб безопасности, оснащение помещений охранной и противопожарной сигнализацией;

- включение в должностные инструкции мероприятий по обеспечению режима секретности;

- анализ содержимого документов на степень конфиденциальности, присвоение грифа секретности;

- смена всех паролей при увольнении сотрудников;

- регулярное тестирование компьютерных систем;

- создание необходимого числа копий важной информации.

Аппаратная защита информации предполагает использования специальной аппаратуры, которая обеспечивает проверку целостности компьютерных систем и разграничивает доступ к ней.

К данному виду защиты относятся устройства, работающие с идентификационными карточками и паролями, аппаратура, осуществляющая идентификацию и аутентификацию пользователей по физическим признакам, саморазрушающиеся микросхемы, горячее резервирование серверов и отдельных компьютеров.



Устройства, работающие с идентификационными карточками (смарт-карты), используются в пропускных пунктах, осуществляют идентификацию и регистрацию пользователей.

Пароли способствуют идентификации пользователей, разграничению доступа к информационным ресурсам. К основным недостаткам паролей являются: пароль можно забыть, возможна кража пароля, пароль может быть подобран и взломан.

Для пользователей разработаны следующие правила пользования паролями:

- длина пароля должна быть не менее 8 символов;

- в пароле использовать весь набор символов (различные алфавиты, большие и малые буквы, цифры и специальные символы);

- периодически изменять пароли (время действия пароля не должно превышать 42 дней);

- пароли не должны повторяться;

- нельзя записывать, выставлять на видном месте (наклеивать на монитор, на стену и т.д.);

- менять пароли после каждого случая утечки информации или увольнения сотрудника;

- в случае возникновения проблем с паролем (подозрение в его хищении, трудности ввода, забывчивость) обращаться к системному администратору, который отвечает за генерацию паролей и их качество.

Таким образом, правильное использование паролей для идентификации пользователей позволит повысить информационную безопасность компьютерных систем. В дальнейшем в «чистом» виде пароли будут задействоваться все реже и реже, постепенно уступая системе аутентификации пользователей по биометрическим параметрам.



Идентификация – распознавание пользователя, процесса, устройства компьютерной системой типа «свой», «чужой» для допуска в систему. Для идентификации пользователя используются карточки, шифры, системы «вопрос – ответ».

Аутентификация – установление подлинности идентификации пользователя, процесса, устройства. При аутентификации применяются биометрические методы распознавания пользователя, когда используются такие элементы личности, которые носят индивидуальный характер и сохраняются на протяжении всей жизни человека (отпечатки пальцев, ладони, сетчатки и расположение кровеносных сосудов глаза, личной подписи, форма ушных раковин, ладоней и кистей рук, термограмма лица, ДНК, индивидуальный запах человека и т.п.).

Саморазрушающиеся микросхемы уничтожают себя при попытке несанкционированного проникновения в неё.

При горячем резервировании серверов и компьютеров базы данных и ведение расчетов осуществляется на двух ЭВМ.

Компания «Рускард» разработала сетевую версию программно- аппаратного комплекса «Мастер паролей», предназначенного для идентификации пользователей и разграничения прав доступа к компьютерным сетям.

Таким образом, мероприятия по защите информации должны проводиться на всех стадиях создания ИСУ: проектировании, разработке, подготовке к внедрению и проведении эксплуатации.



Правовые методы защиты информации

Правовые методы используют законодательные акты, положения и инструкции. В мировой практике существует набор различных правовых средств. К ним относятся нормы авторского права, патентного права, право на товарный знак, законодательство о производственных секретах.

Уголовно-правовая защита компьютерной информации в российском уголовном законодательстве впервые введена 23 сентября 1992г., когда был принят Закон «О правовой охране программ для электронно-вычислительных машин и баз данных». Затем 9 июля 1993г. вышел в свет Закон РФ « Об авторском праве и смежных правах» и 20 февраля 1995г. – Федеральный Закон «Об информации, информатизации и защите информации». Эти законы защищают право на имя программы, базы данных, право на использование, право на модификацию.

Для признания авторских прав на программы и базы данных, разработчикам необходимо дать необходимые сведения в средствах массовой информации или осуществить депонирование, или зарегистрировать в Российском агентстве по правовой охране программ для ЭВМ, баз данных и топологий интегральных микросхем.

Авторское право на программы для ЭВМ и базы данных согласно ст. 6 закона, действует с момента создания программы в течение всей жизни автора и 50 лет после его смерти, начиная с 1 января, следующего за годом смерти автора. В случае соавторства срок окончания действия авторского права исчисляется со времени смерти последнего автора.

Автор вправе требовать признания своих прав и возмещения убытков.

Законодательство (Уголовный кодекс от 13.07.1996 – глава 28, ст.272) предусматривает следующие санкции за нарушение авторского права:

а) в случае неправомерного доступа к компьютерной информации:

- штраф от 200 – 500 МРОТ;

- исправительные работы от 0,5 до 1 года;

- лишение свободы до 2-х лет;

- штраф в размере дохода осужденного от 2-х до 5-ти месяцев;

б) тоже деяние, осуществленное группой лиц:

- штраф от 500 – 800 МРОТ;

- исправительные работы от 1 года до 2-х лет;

- лишение свободы до 5-ти лет;

- штраф в размере дохода осужденного от 5-ти до 8-ми месяцев;

в) создание, использование, и распространение вредоносных программ:

- штраф от 200 – 500 МРОТ;

- лишение свободы до 3-х лет;

- штраф в размере дохода осужденного от 2-х до 5-ми месяцев;

г) такие же деяния, но повлекшие тяжелые последствия могут повлечь лишение свободы от 3 до 7 лет;

д) за выпуск чужой программы или базы данных под своим именем наступает уголовная ответственность от 3-х до 5-ти лет.

27 июля 2006 г. принят Федеральный закон «О персональных данных», в котором рассматриваются вопросы регулирования следующих правовых проблем защита прав и свобод личности от угроз и ущерба, связанных с искажением, порчей, уничтожением «персональной» информацией. Так, в статье 5, части 2 указано, что «хранение приватных данных должно осуществляться не дольше, чем это требует их обработка и должны быть уничтожены по достижению целей обработки».

За защитой своих прав правообладатели могут обратиться в суд.

Контрольным органом за легальность использование программных продуктов в Российской Федерации является Ассоциация поставщиков программных продуктов (АППП).

Несмотря на строгую юридическую защиту, уровень пиратства остается очень высоким. Пиратство России: 2001г. – 88%; 2004г. – 87%; 2007г. – 82%.

Сторонники свободного распространения программных продуктов объединяются в так называемые пиратские партии деятельность этих партий направлено против существующего законодательства в области интеллектуальной собственности. К настоящему времени образованы пиратские партии в США, Германии, Швеции, России (2006г). Пиратская партия Швеции ставит перед собой задачу войти в парламент страны. Пиратские партии Швеции, Германии, США добились того, что законодательство этих стран разрешает использовать нелицензионное программное обеспечение в научных и образовательных целях.

Криптографическая защита информации

Исторически криптография (в переводе с греческого этот термин означает «тайнопись») зародилась как способ скрытой передачи сообщений.



Криптографическая защита информации заключается в преобразовании ее составных частей (слов, букв, цифр) из явного вида в неявный. Такое преобразование еще называют шифрованием, так как при этом используются ключи шифрования. Криптография используется для повышения безопасности информации при передаче по незащищенным каналам связи или хранении в удаленных устройствах.

В настоящее время существует очень большое число методов преобразования информации:

- метод подстановки (замена одних символов другими);

-метод перестановки (символы переставляются по определенному алгоритму);

- комбинированные методы;

- многократное шифрование;

- метод бесконечного кода;

- расположение полезной информации определенным образом среди случайных символов;

- использование двух ключей (открытого, передаваемого вместе с текстом и закрытого), для расшифровки нужны оба ключа).

- стеганографический метод (передача тайной информации под видом общедоступной).

В криптографии широко используются компьютерные технологии. Так фирма IBM разработала шифровально-дешифровальные блоки FACON-21 S/A и DES-200, обеспечивающие скорость работы до 50 и 110Кb/сек, соответственно, фирма Cylink – блок SEEK, фирма James Massty – блок IDIA.

Среди российских производителей можно отметить фирмы «Диалог» и «Параграф», выпускающих программы шифраторы Secret, Protest.



Компьютерные вирусы

В настоящее время массовое применение персональных компьюте­ров омрачается появлением самовоспроизводящихся программ-вирусов, противодействующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере ин­формации.

Несмотря на принятые во многих странах законы о борьбе с компью­терными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов по­стоянно растет.

Компьютерный вирус — это небольшая, специально созданная программа, кото­рая способна приписывать себя к другим программам (иными словами, заражать их), создавать свои копии и осуществлять различные нежела­тельные действия на компьютере.

Что же касается происхождения компьютерных вирусов, то они, как и все программы, создаются человеком. Причины этого явления самые разные: от злого умысла (стремление навредить кому-либо) до желания пошутить - например, разыграть знакомых или просто поэкспериментиро­вать. Наконец, существует версия, что распространением вирусов усилен­но занимаются разработчики антивирусного программного обеспечения, чтобы оправдать

В настоящее время известными являются более 80000 самых разно­образных вирусов, что значительно затрудняет их классификацию. Тем не менее, известные вирусы можно классифицировать по следующим призна­кам: по среде обитания, по способу заражения среды обитания, по характеру воздействия, по особенностям алгоритма.

В зависимости от среды обитания вирусы можно выделить сле­дующие типы: файловые; загрузочные; файлово-загрузочные; системные; сетевые.



Файловые вирусы внедряются главным образом в исполняемые мо­дули, т.е. в файлы, имеющие расширения *.СОМ, *.ЕХЕ и *.ВАТ.

Загрузочные вирусы, внедряют­ся в загрузочный сектор диска (Boot-сектор) или сектор, содержащий про­грамму загрузки системного диска (Master Boot Record).

Файлово-зафузочным называется вирус, который является своеоб­разным гибридом файловых и загрузочных вирусов. Он является в неко­тором роде универсальным, так как способен заражать как файлы, так и загрузочные сектора дисков.

Системные вирусы - это вирусы, способные заражать системные программы, имеющие расширение SYS.

Сетевыми называются вирусы, которые в основном осуществляют свое распространение с помощью различных компьютерных сетей (это могут быть как локальные, так и глобальные сети).

Наиболее часто в настоящее время встречаются макровирусы, посе­ляющиеся в текстовых документах и электронных таблицах.

По способу заражения все многообразие вирусов делится на рези­дентные и нерезидентные.

Резидентные вирусы при получении управления оставляют в опе­ративной памяти свою часть (модуль), которая является активной вплоть до выключения или перезагрузки компьютера, перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным сек­торам дисков и т.п.) и внедряется в них.

Нерезидентный вирус при заражении компьютера яв­ляется активным ограниченное время (как правило, только во время за­пуска (работы) зараженной программы).

По характеру воздействия вирусы можно разделить на следующие виды.



Неопасные. К ним относятся вирусы, не мешающие работе компью­тера, но уменьшающие объем свободной оперативной памяти и памяти на дисках. Действие таких вирусов проявляется в каких-либо графических или звуковых эффектах.

Опасные. К опасным принято относить вирусы, которые способны привести к различным нарушениям в работе компьютера.

Очень опасные. Это компьютерные вирусы, воздействие которых может привести к потере программ, уничтожению данных или стиранию информации в системных областях диска.

По особенностям алгоритма вирусы очень трудно классифицировать из-за большого разнообразия, но тем не менее некоторые их группы мож­но выделить и охарактеризовать.



Простейшие вирусы. Эти вирусы являются паразитическими. Их действия сводятся к тому, что они изменяют содержимое файлов и секто­ров диска, такие вирусы могут быть достаточно легко обнаружены и уничтожены.

Вирусы-черви. Они распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии.

Вирусы-невидимки (стелс-вирусы). Такие вирусы достаточно трудно обнаружить и обезвредить. Это объясняется тем, что они перехватывают обращения операционной сис­темы к зараженным файлам и секто­рам дисков и подставляют вместо своего тела незараженные участки дис­ка.

Наиболее трудно обнаружить вирусы-мутанты. Эти виру­сы также называют самомодифицирующимися, так как для того чтобы укрыться от обнаружения, они используют необычный способ - модифи­кацию своего тела.

Существуют и так называемые квазивирусные, или «троянские» про­граммы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загру­зочный сектор и файловую систему дисков.

Рассмотрим основные пути проникновения вирусов в компьютер.

1. Выполнена зараженная вирусом программа.

2. Компьютер загружался с дискеты, содержащей зараженный загрузочный сектор.

3. На компьютер была установлена зараженная операционная систе­ма или драйвер (такое бывает нередко при использовании пиратского программного обеспечения).

Возможно проникновение вируса из сетей. Очень часто электрон­ные письма, распространяемые в сети Интернет, содержат выполняемые


файлы, которые часто содержат вирусы. Эта причина тоже достаточно
часто имеет место при заражении компьютерным вирусом.

Борьба с компьютерными вирусами

Для обнаружения, удаления и защиты от компьютерных вирусов раз­работано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются анти­вирусными. Различают следующие виды антивирусных программ: сканеры, или программы-детекторы; программы-доктора или фаги; программы-ревизоры; доктора-ревизоры; программы-фильтры; программы-вакцины, или иммунизаторы.



Сканеры, или программы-детекторы, осуществляют поиск харак­терной для конкретного вируса сигнатуры.

Программы-доктора, или фаги, не только находят зараженные ви­русами файлы, но и «лечат» их.

Из-за того, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регуляр­ное обновление версий.



Программы-ревизоры являются достаточно надежным средством
защиты от вирусов. Ревизоры запоминают исходное состояние программ,
каталогов и системных областей диска незараженного компьютера. Затем
периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора.

Доктора-ревизоры - это гибриды ревизоров и докторов, т.е. про­граммы, которые не только обнаруживают изменения в файлах и систем­ных областях дисков, но и могут в случае изменений автоматически вер­нуть их в исходное состояние.

Программы-фильтры, или резидентные сторожа, представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для
вирусов. Такими действиями могут являться: попытки коррекции файлов с расширениями СОМ, ЕХЕ; изменение атрибутов файла; прямая запись на диск по абсолютному адресу; запись в загрузочные сектора диска; загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие.

6. Вакцины, или иммунизаторы - это резидентные программы, предотвращающие заражение файлов, модифицируя программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет восприни­мать их зараженными и поэтому не внедрится.

К сожалению, ни один вид антивирусных программ по отдельности не дает полной защиты от вирусов. Поэтому наилучшей стратегией защиты является многоуровневая оборона, включающая несколько антивирус­ных программ, а также соблюдение профилактических мер по защите от заражения компьютерным вирусом.

Для того чтобы не подвергнуть компьютер заражению вирусами и обеспечить надежное хранение информации на дисках, необходимо со­блюдать следующие правилах.


  1. Желательно оснастить компьютер несколькими современными антивирусными программами, например, AVP, Doctor Web, Norton
    AntiVirus, Adinf и постоянно обновлять их версии.

  2. Перед считыванием с дискет информации, записанной на других
    компьютерах, всегда проверяйте эти дискеты на наличие вирусов.

  3. Не открывать без проверки выполняемые файлы, присоединенные
    к электронным письмам.

  1. При переносе на свой компьютер файлов в архивированном виде
    проверять их сразу же после разархивации на жестком диске, ограничивая
    область проверки только вновь записанными файлами.

  2. Периодически проверять на наличие вирусов жесткие диски компьютера.

  1. Всегда защищать свои дискеты от записи при работе на других
    компьютерах, если на них не будет производиться запись информации.

  2. Обязательно делать архивные копии ценной информации на дискетах.

  3. Не оставлять в кармане дисковода дискеты при включении или перезагрузке операционной системы, чтобы исключить заражение компьютера загрузочными вирусами.

9. Использовать антивирусные программы для входного контроля
всех исполняемых файлов, получаемых из компьютерных сетей.

  1. Никогда не экспериментировать с вирусами. Нельзя недооцени­вать опасность даже старых и известных вирусов.




<< предыдущая страница   следующая страница >>
Смотрите также:
Конспект лекций по дисциплине вгипу, 2009 Конспект лекций по дисциплине «Автоматизированные системы управления на автомобильном транспорте»
795.11kb.
3 стр.
Конспект лекций по дисциплине «Конфекционирование материалов» предназначен для студентов среднего специального образования по специальностям 2808 (260903) «Моделирование и конструирование швейных изделий»
718.37kb.
4 стр.
Рабочая учебная программа по дисциплине конспект лекций по дисциплине
1158.13kb.
5 стр.
Рабочая учебная программа по дисциплине конспект лекций по дисциплине
700.63kb.
6 стр.
Рабочая учебная программа по дисциплине конспект лекций по дисциплине
2250.12kb.
12 стр.
Рабочая учебная программа по дисциплине Конспект лекций по дисциплине
1569.87kb.
9 стр.
Рабочая учебная программа по дисциплине конспект лекций по дисциплине
993.8kb.
6 стр.
Рабочая учебная программа по дисциплине конспект лекций по дисциплине
947.71kb.
5 стр.
Рабочая учебная программа по дисциплине конспект лекций по дисциплине
1300.9kb.
5 стр.
Конспект лекций по дисциплине «Автоматизированный электропривод» для студентов 4 курса всех форм обучения специальности 090603 «Электротехнические системы электроснабжения»
932.35kb.
6 стр.
Рабочая учебная программа по дисциплине конспект лекций по дисциплине
1042.72kb.
6 стр.
Рабочая учебная программа по дисциплине конспект лекций по дисциплине
4131.95kb.
25 стр.